AVG
PRIVACYREGLEMENT VOLGENS AVG
Praktijk Divalis
De AVG is de nieuwe wet ter bescherming van privacy en persoonsgegevens. Op grond van deze wet heeft een organisatie die met persoonsgegevens werkt bepaalde plichten en heeft degene van wie de gegevens zijn bepaalde rechten. Sinds 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De wet bescherming persoonsgegevens (WBP) geldt niet meer.
In onze praktijk kunnen diverse persoonsgegevens van u verwerkt worden. Dit is noodzakelijk om uw zorg te kunnen leveren en nodig voor het financieel afhandelen van de zorg. Daarnaast kan verwerking noodzakelijk zijn voor bijvoorbeeld de bestrijding van ernstige gevaar voor uw gezondheid of ter voldoening aan een wettelijke verplichting. Praktijk Divalis is volgens AVG de verantwoordelijke voor de verwerking van persoonsgegevens die in de praktijkplaatsvindt.
Begripsomschrijvingen
In deze regeling wordt verstaan onder:
De wet : De Wet Bescherming persoonsgegevens (WBP) en vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG)
Persoonsgegeven: elke gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening.
Verwerking persoonsgegevens: elke handeling of elke geheel van handelingen met betrekking tot persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietiging van gegevens.
Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens, die in de persoonsregistratie zijn opgenomen.
Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Beheer: degene die is belast met de verantwoording over de uitvoering; het verzamelen, bewerken en verstrekken van gegevens.
Gebruiker: degene die bevoegd is tot het invoeren, muteren, dan wel inzien van gegevens.
Verwerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Betrokkene: degene op wie een persoonsgegeven betrekking heeft; indien de betrokkene een wettelijk vertegenwoordiger heeft, kunnen de rechten van de registreerde ingevolge dit reglement door de wettelijk vertegenwoordiger worden uitgeoefend.
Derde: ieder, niet zijnde de cliënt, de bestuurder of functionarissen van Zorgbureau Daadkracht B.V. die gemachtigd zijn om persoonsgegevens te verwerken.
Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.
Toestemming van betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
Klachtenprocedure: binnen Praktijk Divalis geldende Klachtenregeling, waarbij cliënten en hun vertegenwoordigers conform de Wet Kwaliteit Geschillen in de Zorg een klacht of ontevredenheid aan de kaak kunnen stellen en zich daarbij kunnen wenden tot het juiste orgaan, wanneer Praktijk Divalis in de ogen van betrokkene een klacht niet tevredenheid van de betrokkene heeft afgehandeld.
Artikel 1 Bereik
Dit regelement is van toepassing op het geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, evenals de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die beschermd zijn om daarin te worden opgenomen.
Dit reglement is van toepassing binnen Praktijk Divalis en heeft betrekking op de verwerking van persoonsgegevens van voornamelijk cliënten, maar kan ook van toepassing zijn op medewerkers.
Artikel 2 Doel
Het doel van dit regelement is een praktische uitwerking te geven van de bepalingen van de Algemene Verordening Gegevensbescherming (AVG). De registratie van persoonsgegevens heeft uitsluitend tot doel relevante gegevens op te slaan en te leveren voor zover deze gegevens noodzakelijk zijn.
Artikel 3 Toestemming
- Aan de betrokkene en/of de wettelijke vertegenwoordiger wordt schriftelijk toestemming gevraagd om in overleg te kunnen treden en/of informatie uit te wisselen met instanties die de zorg financieren en/of andere relevante instanties.
- Een kopie van de schriftelijke toestemming wordt op verzoek meegezonden bij schriftelijke rapportages of bij een verzoek om inlichtingen betreffende een betrokkene.
- Een toestemming kan door de betrokkene, diens schriftelijk gemachtigde of zijn wettelijke vertegenwoordiger ten alle tijden worden ingetrokken.
Artikel 4 Verantwoordelijkheid
- De verantwoordelijke is verantwoordelijk voor de naleving van de bepalingen van dit regelement en voor de juistheid en de volledigheid van de opgenomen gegevens.
- De verantwoordelijke draagt er zorg voor dat persoonsgegevens afdoende worden beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Hiertoe legt zij passende technische en organisatorische maatregelen ten uitvoer. In ieder geval wordt, gelet op de stand van de techniek en de kosten van tenuitvoerlegging, een passend beveiligingsniveau gegarandeerd.
- De verantwoordelijke draagt de zorg voor de persoonsregistratie op aan een of meer medewerkers, welke werkzaam is/zijn voor de verantwoordelijke. De medewerker verwerkt persoonsgegevens slechts in opdracht van de verantwoordelijke.
Artikel 5 Inhoud persoonsgegevens
De persoonsgegevens kunnen bestaan uit de volgende gegevens:
- Personalia (inclusief personalia van een eventuele wettelijke vertegenwoordiger of gemachtigde betrokkene)
- Identificatienummer / burger service nummer (BSN)
- NAW-gegevens
- Zorginhoudelijke gegevens
- Financiële en administratieve gegevens
- Gegevens betreffende een verzekeringsmaatschappij
- Gegevens betreffende zorgverleners, instantie en/of zorginstelling
Artikel 6 Rechtmatige verwerking
- Persoonsgegevens worden op een transparante wijze en in overeenstemming met de wet en dit regelement op behoorlijke en zorgvuldige wijze verwerkt.
- Het registeren van persoonsgegevens vindt uitsluitend plaatst in zoverre zulks noodzakelijk is voor een verantwoorde zorgverlening aan betrokkenen.
- Persoonsgegevens dienen – gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt – toereikend en ter zake dienend te zijn; er dienen niet meer persoonsgegevens te worden verzameld of verwerkt dan voor het doel van de registratie nodig is.
- Persoonsgegevens van betrokkenen worden slechts verwerkt indien:
- de betrokkene hiertoe ondubbelzinnig zijn toestemming heeft verleend;
- de gegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van een betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
- de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen;
- de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang van de betrokkene prevaleert.
Artikel 7 Verwerking van persoonsgegevens
- De verwerking vindt plaats door Praktijk Divalis voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel beheer van desbetreffende instelling of beroepspraktijk noodzakelijk is.
- De verwerking geschiedt met uitdrukkelijke toestemming noodzakelijk is.
- De verwerking van persoonsgegevens vindt plaats ten behoeve een juiste en doelmatige zorgverlening door Praktijk Divalis teneinde productiegegevens te kunnen vastleggen, voor de financiële afhandeling van de geleverde zorg en voor statistische doeleinden ter zake van de zorgverlening door Praktijk Divalis.
Artikel 8 Verstrekking van persoonsgegevens
- Verstrekking van persoonsgegevens aan derden geschiedt in beginsel niet anders dan na toestemming van betrokkene of diens vertegenwoordiger, behoudens een daartoe strekkend wettelijk voorschrift of de noodtoestand.
- Indien verantwoordelijke zonder toestemming van betrokkene en diens wettelijke vertegenwoordiger persoonsgegevens aan derden verstrekt, stelt verantwoordelijke betrokkene of dienst wettelijke vertegenwoordiger daarvan onverwijld in kennis, tenzij dit gevaar oplevert voor personen en/ of zaken.
- Persoonsgegevens worden uitsluitend verstrekt aan personen werkzaam ten behoeve van de verantwoordelijke die deze in het kader van hun taakoefening c.q. dienstverlening mogen ontvangen en indien zulks in overeenstemming is met de in artikel 7 vermelde doeleinden.
Artikel 9 Toegang tot de registratie van persoonsgegevens
- Uitsluitend personen binnen de organisatie Praktijk Divalis die daartoe zijn aangewezen door de directrice van de verantwoordelijke en derhalve daartoe in het kader van hun taakuitoefening gerechtigd zijn, hebben toegang tot de registratie van persoonsgegevens.
- Tot de gebruikers van de registratie behoren de directe zorgverlener van de verantwoordelijke en de eventuele zorg coördinator. Voor iedere gebruiker geldt een specifieke bevoegdheid het aanzien van het invoeren, wijzigen en verwijderen van gegevens. Bovendien heeft iedere gebruiker zich en aanzien van de persoonsgegevens schriftelijk tot geheimhouding verplicht.
- Derden hebben toegang tot de registratie van persoonsgegevens indien zulks noodzakelijk is op grond van wettelijke voorschrift. Bovendien kan een externe accountant toegang worden verleend indien zulks ten uitvoer van diens opdracht noodzakelijk is.
Artikel 10 Bewaring persoonsgegevens
- De persoonsgegevens van een betrokkene vallend onder WGBO worden gedurende vijftien jaar bewaard te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs nodig is voor een goede zorgverlening.
- De gegevens niet vallend onder het eerste lid van dit artikel worden niet langer bewaard dan nodig is.
- Indien de bewaartermijn van de persoonsgegevens is verstrekken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende medische gegevens binnen een termijn van drie maanden verwijderd.
- Verwijdering blijft echter achterwege wanneer redelijkerwijs is aan te nemen dat:
- Het bewaren van groot belang is voor een ander dan de betrokkene
- Het bewaren van grond van een wettelijk voorschrift vereis is of
- Indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.
Artikel 11 Recht op inzage
- De betrokkene heeft het recht kennis te nemen van de verwerkte gegevens die op zijn persoon betrekking hebben en mag hiervan een kopie ontvangen.
- De verantwoordelijke deelt eenieder op diens verzoek – zo spoedig mogelijk maar uiterlijk binnen vier weken na ontvangst van het verzoek – schriftelijk mee of persoonsgegevens worden verwerkt die hem betreffen.
- De verantwoordelijke kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:
- De opsporing en vervolging van strafbare feiten;
- De bescherming van de betrokkene of van de rechten en vrijheden van anderen.
Artikel 12 Recht op correctie, aanvulling, verwijdering
- Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming (vergeetrecht) van de over de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met wettelijke voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.
- De verantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of geheel wilt voordoen, motiveert hij dat. Verzoeker heeft in dit verband de mogelijkheid zich te wenden tot de klachtenfunctionaris van de verantwoordelijke.
- De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming binnen 14 werkdagen, en wanneer dit redelijkerwijs niet mogelijk blijkt ander zo mogelijk nadien, wordt uitgevoerd.
Artikel 13 Klachten
In het geval een betrokkene van mening is dat de verantwoordelijke dit regelement niet juist heeft naleeft of op enige andere wijze een klacht heeft ter zake van de opgenomen persoonsgegevens kan betrokkene schriftelijk klacht indienen bij Praktijk Divalis of bij de onafhankelijk klachtencommissie van De Geschillencommissie. De afhandeling van klachten worden beschreven in het klachtenreglement.
Artikel 14 Slotbepaling
- Iedere betrokkene ontvangt op verzoek een afschrift van dit privacyreglement.
- Het privacyreglement wordt vastgesteld door Praktijk Divalis en kan te allen tijde door haar gewijzigd worden.
- In alle gevallen waarin dit privacyreglement niet voorziet beslist Praktijk Divalis.
- Dit privacyreglement treedt in werking met ingang van 25 mei 2020.